Elliptic curve digital signature algorithm

Elliptic Curve Digital Signature Algorithm (ECDSA) est un algorithme de signature numérique à clé publique, variante de DSA. Il fait appel à la cryptographie sur les courbes elliptiques.

Introduction

L’algorithme a été proposé en 1992 par Scott Vanstone, en réponse à un appel d'offres pour les signatures numériques du National Institute of Standards and Technology (NIST). Vanstone fonda la société Certicom en 1985, et son entreprise détient la plupart des brevets des algorithmes à base de courbes elliptiques. Les avantages de ECDSA sur DSA et RSA sont des longueurs de clés plus courtes et des opérations de signature et de chiffrement plus rapides.

ECDSA est défini par le standard ANSI X9.62-1998, Public Key Cryptography For The Financial Services Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA)^[1].

Algorithme

Soit une courbe de formule $y^{2}=x^{3}+ax+b$ . C'est une courbe elliptique sur un corps d'entiers fini modulo p avec p un nombre premier et un point G de la courbe (appelé point de base). L'ordre de G est n, le plus petit entier tel que nG donne $O$ le point à l'infini de la courbe et élément neutre du groupe commutatif sur les points de la courbe. Pour que tous les entiers entre 1 et n-1 soient inversibles modulo n, il est impératif que l'anneau $\mathbb {Z} /n\mathbb {Z}$ soit un corps, et donc que n soit un nombre premier (c'est une conséquence du théorème de Bézout). Ainsi, dans ce qui suit, la notation $k^{-1}{\text{ mod }}n$ lorsque $k$ est un entier entre 1 et n-1 désigne l'inverse de $k$ dans le corps $\mathbb {Z} /n\mathbb {Z}$ .

Préparation des clés

Choisir un entier s entre $1$ et $n-1$ qui sera la clé privée.
Calculer $Q=sG$ en utilisant l'élément de la courbe elliptique.
La clé publique est Q et la clé privée est s.

Signature

Choisir de manière aléatoire un nombre k entre 1 et n-1
- voir Annexe B5 de FIPS 186-4^[2] pour les méthodes recommandées de génération de ce nombre.
- Sony, lors de la sécurisation de la PS3, n'a pas suffisamment pris de soin lors du choix de ce nombre ce qui a permis de retrouver la clé privée^[3]^,^[4]
- EdDSA utilise une méthode déterministe pour calculer ce nonce cryptographique
- Pour la signature des transactions de cryptomonnaies, certaines implémentations^[5] utilisent un calcul de type HMAC pour obtenir k
Calculer $(i,~j)=k~G$
Calculer $x=i~{\bmod {~}}n$ ; si $x=0$ , aller à la première étape
Calculer $y=k^{-1}(H(m)+sx)~{\bmod {~}}n$ où H(m) est le résultat d'un hachage cryptographique sur le message m à signer, souvent SHA-1 (le NIST et l'ANSSI conseillent de ne plus utiliser SHA-1 mais SHA-256 ou SHA-512, ethereum utilise Keccak-256, une variante de SHA-3)
Si $y=0$ , aller à la première étape
La signature est la paire (x, y).

Comme indiqué dans les normes, il est crucial que, non seulement $k$ soit secret (sinon on peut trouver $s$ à partir de la signature et $y=k^{-1}(H(m)+sx)$ ), mais aussi de choisir un $k$ différent à chaque signature (en tirant $k$ au hasard, la probabilité de tomber sur un nombre déjà utilisé est du même ordre que de trouver la clé privée par hasard) car sinon, on peut trouver la clé privée : avec deux signatures $(x,y)$ et $(x,y')$ , utilisant le même $k$ pour deux messages $m$ et $m'$ , et comme $y-y'=k^{-1}(H(m)-H(m'))$ (mod $n$ ), on trouve $k={\frac {H(m)-H(m')}{y-y'}}$ et donc $s$ en utilisant $y=k^{-1}(H(m)+sx)$ .

Vérification

Vérifier que Q est différent de $O$ (le point à l'infini) et que Q appartient bien à la courbe elliptique
Vérifier que nQ donne $O$
Contrôler que x et y sont bien entre 1 et n-1
Calculer $(i,j)=(H(m)y^{-1}~{\bmod {~}}n)G+(xy^{-1}~{\bmod {~}}n)Q$
Vérifier que $x=i~{\bmod {~}}n$ .

Démonstration

$\left(H(m)y^{-1}~{\bmod {~}}n\right)~G+{\Big (}xy^{-1}~{\bmod {~}}n{\Big )}~Q$

$=\left(H(m)y^{-1}~{\bmod {~}}n\right)G+{\Big (}xy^{-1}~{\bmod {~}}n{\Big )}s~G$

$=\left((H(m)+sx)y^{-1}\right)~{\bmod {~}}n~G$

$=\left(\left(H(m)+sx\right)k(H(m)+sx)^{-1}\right)~{\bmod {~}}n~G$

$=\left(k~{\bmod {~}}n\right)~G$ $=k~G$ $=(i,~j)$

Donc si $x=i~{\bmod {~}}n$ , la signature est vérifiée.

Sécurité

Puisque tous les algorithmes connus pour résoudre le problème du logarithme discret sur les courbes elliptiques sont en $O({\sqrt {n}})$ (baby-step giant-step, algorithme de rho Pollard), la taille du corps doit donc être approximativement deux fois plus grande que le paramètre de sécurité voulu. Pour un degré de sécurité de 128-bits (AES-128, RSA-3072), on prendra une courbe sur un corps $\mathbb {F} _{q}$ , où $q\approx 2^{256}$ .

Intégration

En pratique, l'ECDSA repose souvent sur des courbes recommandées par des organisations comme le NIST ou Certicom.

Le NIST recommande par exemple quinze courbes elliptiques différentes sur dix corps différents. Cinq courbes sont recommandées sur cinq corps finis d'ordre p premier $\mathbb {F} _{p}$ , nommées P-192, P-224, P-256, P-384, P-521, dix courbes sur cinq corps finis de la forme $\mathbb {F} _{2^{m}}$ ^[6].

L'ANSSI recommande l'utilisation de la courbe FRP256v1, dont les paramètres ont été publiés au Journal Officiel^[7] en 2011, et les courbes P-256, P-384, P-521, B-283, B-409 et B-571 définies dans le FIPS 186-2^[8]. Cela est repris et complété en y ajoutant, les courbes brainpoolP256r1, brainpoolP384r1 et brainpoolP512r1 (RFC 5639^[9]) dans le Guide des mécanismes cryptographiques de 2020, et les courbes Curve25519 et Curve448 (RFC 7748^[10]) dans le document Guide de sélection d'algorithmes cryptographiques de 2021.

Notes et références

↑ draft ANSI X9.62-1998
↑ http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf
↑ BBC News Technology article sur la sécurisation de la PS3
↑ Engadget: valeur du nombre aléatoire k utilisé pour la signature des logiciels de la PS3.
↑ voir fonction deterministic_generate_kcode source ethereum en python
↑ FIPS PUB 186-4, Digital Signature Standard (DSS)
↑ Avis relatif aux paramètres de courbes elliptiques définis par l’État français, Journal officiel n°241 du 16/10/2011.
↑ Référentiel Général de Sécurité, Annexe B1, "Mécanismes cryptographiques Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques".
↑ (en) Request for comments n^o 5639
↑ (en) Request for comments n^o 7748

Annexes

Articles connexes

EdDSA, autre signature utilisant une courbe elliptique et basée sur la courbe d'Edwards tordue
Curve25519, basée sur edDSA et protégée contre les générateurs de nombres pseudo-aléatoires défaillants

Liens externes

« ECDSA, technologie clé de bitcoin » (version du 15 mars 2016 sur Internet Archive).

[1] raft ANSI X9.62-1998

[2] ttp://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf

[3] BBC News Technology article sur la sécurisation de la PS3

[4] Engadget: valeur du nombre aléatoire k utilisé pour la signature des logiciels de la PS3.

[5] voir fonction deterministic_generate_kcode source ethereum en python

[6] FIPS PUB 186-4, Digital Signature Standard (DSS)

[7] Avis relatif aux paramètres de courbes elliptiques définis par l’État français, Journal officiel n°241 du 16/10/2011.

[8] Référentiel Général de Sécurité, Annexe B1, "Mécanismes cryptographiques Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques".

[RFC-5639-9] (en) Request for comments n^o 5639

[RFC-7748-10] (en) Request for comments n^o 7748

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

v · m Bitcoin
Histoire Statut légal Économie
Personnes	Gavin Andresen Andreas Antonopoulos Adam Back Wences Casares Tim Draper Hal Finney Mark Karpelès Bobby C. Lee (en) Satoshi Nakamoto Charlie Shrem Nick Szabo Amir Taaki Ross Ulbricht Roger Ver Cody Wilson Jumeaux Winklevoss (en) Craig Steven Wright
Technologies	Base58 Réseau Bitcoin Chaîne de blocs Pièces de couleur (pt) Crypto-monnaie Bitcoin ATM (en) Service de mélange de crypto-monnaie ECDSA Lightning P2P Preuve de travail SHA-2 SegWit UTXO
Échanges	ANX (zh) Bitstamp BTC-e BTC China (en) Coinsecure (Inde) Coinbase Huobi (en) ItBit (en) Crypto.com Kraken LocalBitcoins (en) OKCoin
Clients Logiciels	Bitcoin Core (principal) Bitcoin Classic Bitcoin Knots Bitcoin Unlimited Bitcoin XT Electrum (de)
Connexes	Réserve stratégique de bitcoins